En 2020, un joven murciano de 23 años lograba infiltrarse en los sistemas de la Dirección General de Tráfico (DGT) conectándose con el certificado digital del DNI de su madre. Después de eso, estuvo extrayendo datos de dicho organismo durante casi cuatro años, hasta que la Policía Nacional le detuvo hace dos meses.
Su caso no sólo destaca por la cantidad masiva de datos filtrados (más de 40 millones, relativos tanto a vehículos como a sus propietarios) sino también por la complejidad y la duración de la operación delictiva. De hecho, se trata de una operación muy similar a la del popular Alcasec, el ahcker español que se infiltró en los Sistemas del Punto Neutro Judicial... con el objetivo de poder acceder desde ahí a los sistemas de la Agencia Tributaria.
Modus operandi y detención
Pocos días antes de la detención, las autoridades se habían percatado de la filtración de aproximadamente 80.000 registros de la DGT... y pronto descubrieron que el ciberataque era mucho más amplio y complejo que eso: el detenido, haciendo uso de una vulnerabilidad en los formularios de pago del impuesto de transmisiones patrimoniales del sistema de Sede Electrónica de varias comunidades autónomas, había logrado acceso no sólo a los sistemas de Murcia sino también a los de Andalucía, Baleares y Canarias.
Y de ahí, a causa de la interconexión entre administraciones electrónicas, pudo acceder a los datos de la DGT.
El modus operandi del joven de Murcia fue meticulosamente planeado para evitar la detección. Utilizando el citado certificado digital, nuestro protagonista creó un 'script' que le permitía hacer solicitudes de datos de forma masiva, pero gradual, manteniéndose bajo el radar de los sistemas de seguridad informática (al menos hasta que, por soberbia o error, extrajo los citados 80.000 registros de golpe).
Su meta era crear una vasta base de datos comercializable, ofreciendo un servicio de comprobación de datos de vehículos (algo usado por los que pretenden comprar coches de segunda mano) a un precio inferior al de la DGT (que cobra 9 € por consulta), o incluso vendiendo la información a terceros interesados como aseguradoras o portales de compraventa de datos robados.
La detención del joven (que fue posible tras identificarse su IP) tuvo lugar el 19 de febrero de 2024, fruto de una operación coordinada por la Comisaría General de Información (tradicionalmente asociada con la lucha contra el terrorismo) y en la que participó nada menos que el Centro Criptológico Nacional (el CCN-CERT, dependiente del CNI).
La rápida actuación de las autoridades permitió recuperar la base de datos creada por el detenido y neutralizar otras dos copias de seguridad que mantenía ocultas, evitando así que esta información pudiera caer en manos de organizaciones criminales.
Javier Candau, jefe del departamento de ciberseguridad del CCN, explicaba lo siguiente el pasado mes de diciembre, durante unas jornadas organizadas por el propio organismo:
"Tras la pandemia, cada vez hay más usuarios trabajando en remoto, funcionarios trabajando desde sus casas. Robar sus credenciales se ha vuelto más sencillo que nunca. La interconexión entre organismos públicos hace además que saltar de uno a otro sea cada vez más fácil. Desde un ayuntamiento puedes saltar a los sistemas de la Administración General del Estado. Eso nos obliga a cambiar el modelo de seguridad".
Vía | El Confidencial
Imagen | Marcos Merino mediante IA
En Genbeta | Cómo solicitar un informe de cualquier vehículo en la DGT gratis: evita estafas al comprar de segunda mano
Ver 2 comentarios